Banner Health 面临125万美元的罚款以解决HIPAA潜在违规行为

重点摘要

  • Banner Health 同意向公民权办公室支付125万美元的民事罚款,以解决涉及健康保险可携带性和责任法案(HIPAA)的潜在违规问题。
  • 该罚款源自于2016年的数据泄露事件,调查发现该组织在安全合规方面的长期和普遍的不足。
  • Banner Health 还将实施一项纠正行动计划,以修复HIPAA合规的缺陷,确保其电子健康信息的安全性。

Banner Health同意向公民权办公室(OCR)支付125万美元的民事货币罚款,以解决可能违反健康保险可携带性和责任法案(HIPAA)的问题,这些问题是在2016年大规模数据泄露事件后被曝光的。

新闻稿强调,由于该组织的规模,OCR的调查结果被视为“一个严重的关切”。

Banner Health是美国最大的大规模非营利健康系统之一,在六个州拥有超过50,000名员工。它是亚利桑那州最大的雇主。OCR对该公司数据泄露的调查“发现了长期存在的普遍不合规行为,尤其是在HIPAA安全规则方面”。

关键信息 | 描述
—|—
罚款金额 | $1.25百万
数据泄露患者数量 | 2.81百万
调查开始时间 | 2018年3月
改正措施实施 | 需在90天内提交风险分析报告

OCR发现,BannerHealth未对其电子保护健康信息进行风险分析,也没有对其健康IT系统进行足够的监控来保护免受网络威胁。审计还发现该健康系统缺乏身份验证流程来核实用户身份,并且没有保护传输健康信息免受未授权访问的技术安全措施。

2018年3月,卫生与公共服务部宣布正在对该健康系统进行调查,回应其2016年报告的数据泄露事件。 BannerHealth的27个地点的患者数据暴露,攻击者通过其食品和饮料分销渠道的支付处理系统入侵该系统,且系统入侵超过一个月未被检测到。

攻击者利用受损的平台进入Banner网络,导致包含社交安全号码、出生日期、联系信息和个人健康信息的数据服务器被黑。BannerHealth积极配合调查,但在调查宣布时,OCR表示其初步回应关于Banner安全程序的不足。官方预计发现消极回应,并因此可能会导致罚款。

在审计宣布五年后,近七年后,OCR的审计显示了一系列安全缺陷,应该为其他医疗保健覆盖实体敲响警钟。与OCR的和解协议并不构成Banner的责任承认。

除了金钱罚款,Banner Health还同意,其中包括其安全团队为解决可能的HIPAA失误而采取的措施。

根据纠正行动计划及HIPAA的要求,BannerHealth必须在其企业网络内进行全面和准确的风险分析,以确定所有电子设备、数据系统、程序和应用在每个照护地点的潜在安全风险和脆弱性。该过程必须包括开发所有电子设备、数据系统、异地数据存储设施和持有电子保护健康信息(ePHI)应用程序的完整清单,并将其纳入风险分析中,90天内提供给卫生与公共服务部。

Banner还必须制定和实施一项风险管理计划,包含其计划以解决和减轻风险分析中所识别的所有潜在安全风险和脆弱性,此外,还应建立措施和时间表来进行风险补救。安全团队还需建立和维护HIPAA安全政策和程序。

新流程和文档必须分发给所有相关员工作为培训,以确保合规。

这是BannerHealth在过去两年内面临的第二次执法行动。OCR于2021年1月对该健康系统施加了20万美元的民事货币罚款,以解决可能违反的问题。在多名患者投诉表示需要超过六个月才能收到所请求的记录后,OCR开始对Banner Health的审计。

OCR主任

Leave a Reply

Your email address will not be published. Required fields are marked *